美國(guó)三大運(yùn)營(yíng)商被曝存在嚴(yán)重?cái)?shù)據(jù)安全漏洞
2018-08-27 15:40:51
來(lái)源: 騰訊科技 熱度:
據(jù)國(guó)外媒體報(bào)道稱,本周對(duì)于電信公司來(lái)說(shuō)并不順利,因?yàn)橛邪踩芯咳藛T發(fā)現(xiàn),AT&T、Sprint和T-Mobile這三大美國(guó)電信運(yùn)營(yíng)商系統(tǒng)均存在安全漏洞,這些漏洞可能導(dǎo)致用戶信息泄露。
BuzzFeed此前報(bào)道了兩大可導(dǎo)致AT&T和T-Mobile客戶信息容易受到黑客攻擊的漏洞。就拿T-Mobile的例子來(lái)說(shuō),蘋果在線商店與T-Mobile帳戶驗(yàn)證API之間的“工程錯(cuò)誤”(engineeringmistake)允許黑客在在線表單上進(jìn)行無(wú)限次的密碼嘗試。這也就是說(shuō),黑客可以使用暴力破解工具來(lái)破解用戶帳戶、密碼或者社保安全號(hào)碼的最后四位數(shù)。
而且,同樣的問(wèn)題也出現(xiàn)在電話保險(xiǎn)公司Asurion以及AT&T身上。這兩家企業(yè)的在線索賠表單都允許任何擁有客戶電話號(hào)碼的人訪問(wèn)該表單,并允許他們暴力破解客戶的用戶名和密碼。
截至目前,兩家公司都已修復(fù)了這一漏洞。
在上周末出現(xiàn)的另一個(gè)案例中,TechCrunch援引安全研究人員的消息稱,另一大美國(guó)電信運(yùn)營(yíng)商Sprint內(nèi)部員工帳戶也存在漏洞。黑客可以利用員工設(shè)置的簡(jiǎn)易用戶名和密碼進(jìn)入Sprint內(nèi)部員工平臺(tái),且該公司并沒(méi)有啟用雙重身份驗(yàn)證機(jī)制。黑客一旦進(jìn)入內(nèi)部系統(tǒng),就可以訪問(wèn)包括Sprint、BoostMobile和Virgin Mobile在內(nèi)的大量用戶賬戶信息。
研究人員還發(fā)現(xiàn),任何獲得訪問(wèn)權(quán)限的人都可以對(duì)用戶賬戶進(jìn)行更改,用戶的密碼可能會(huì)被暴力破解。
對(duì)此,Sprint一位發(fā)言人證實(shí)了這一漏洞,但表示公司相信“目前還沒(méi)有客戶受到該漏洞的影響,我們也正在努力解決這一問(wèn)題”。
需要指出的是,這些安全隱患、漏洞不一定會(huì)被攻擊者利用,但卻會(huì)讓別有用心的人獲得系統(tǒng)、用戶數(shù)據(jù)的訪問(wèn)權(quán)。我們可以肯定,類似AT&T,Sprint和T-Mobile這樣規(guī)模公司所使用的用戶系統(tǒng)必定非常復(fù)雜,但他們同時(shí)也需要找到為員工提供工作便利和幫助客戶獲取信息之間的平衡點(diǎn)。
不過(guò),考慮到攻擊者可能利用這些公司所擁有大量數(shù)據(jù)帶來(lái)的巨大傷害,這些電信巨頭顯然需要采取更主動(dòng)的措施保障用戶信息。
下一篇:貝殼視頻等12大新媒體助力宣傳第七屆山東文博會(huì)上一篇:愛奇藝與攜程達(dá)成會(huì)員增值服務(wù)深度合作 愛奇藝高等級(jí)會(huì)員可享攜程超級(jí)會(huì)員福利
責(zé)任編輯:安旭環(huán)